Cómo administrar el tráfico interno de AD en el medio

El envenenamiento ARP y la suplantación de IP son una forma de hacer esto con nada más que un nodo en la red.

En general, lo que terminas haciendo es hacerse pasar por el servidor de AD durante la negociación. Los detalles técnicos probablemente no sean interesantes en este contexto, pero si pretende ser el servidor de AD, puede hacer muchas cosas.

Una de estas cosas podría ser simular que solo se admite la autenticación NTLM y, por lo tanto, invocar un protocolo muy débil que implica pasar un hash muy débil que puedes descifrar en unas pocas horas en tu computadora portátil y, por lo tanto, recuperar contraseñas.

También puedes explotar una debilidad en Kerberos si tienes una, ya que la autenticación de enlace se puede hacer usando eso también. El otro método de autenticación que podría forzar sería digest-md5, que es más fuerte que NTLM, pero no demasiado.

Si es realmente bueno, puede pasar la autenticación al servidor de AD real y proceder al proxy (MitM) toda la comunicación entre el cliente y el servidor durante el tiempo que pueda mantener la parodia. Nadie se dará cuenta mucho. Sin embargo, Kerberos hace esto difícil.

Por lo tanto, a largo plazo, el atacante que haga esto podría recuperar hashes de contraseña y tiene la capacidad de influir en ellos para que sean muy débiles. Esto puede comprometer las contraseñas.

El atacante también podría rastrear la autenticación (kerberos), aunque esto es más difícil en los segmentos de red conmutados, y es básicamente imposible con 802.1x.

Kerberos en particular hace que este tipo de cosas sea bastante difícil de lograr. Por ejemplo, la contraseña solo se usa para generar una clave que se comparte entre el servidor y la estación de trabajo (el servidor conserva la clave, cambiándola solo cuando cambia la contraseña), por lo que realmente no hay una contraseña que descifrar. Esta clave se utiliza para asegurar las comunicaciones. Sin embargo, la clave es simétrica y un atacante podría, en teoría, rastrear cualquiera de los datos de kerberos que transitan por la red, encontrar la clave y luego encontrar una contraseña que genere esta clave (aunque honestamente la clave es suficiente). Esto es duro. Microsoft tiene un artículo que incluye detalles exactos de cómo funciona todo esto, incluido Kerberos .

Sin embargo, si está enlazando a AD como si fuera LDAP y está haciendo cosas como restablecer contraseñas o autenticarse utilizando el método simple, definitivamente debe proporcionar un certificado SSL y cifrar su tráfico.

parodia ARP para obtener las credenciales que pasan por la red, luego pasa el hash .

Arpspoofing es una forma de interceptar el tráfico atacando la capa 2 del modelo OSI. En este ejemplo, el atacante enviaría respuestas de arp al host de destino con la misma IP de la puerta de enlace predeterminada pero con una dirección MAC diferente que es propiedad del atacante. Esto hace que el host de destino crea que la puerta de enlace predeterminada reside en el MAC proporcionado por el atacante y no en el verdadero MAC de la puerta de enlace predeterminada. En este punto, el atacante gana y puede generar tráfico. Con acceso completo al tráfico de la red, el atacante puede extraer la información necesaria para llevar a cabo ataques como pasar el hash.

En este ejemplo, el equipo adicional no es necesario, aunque el atacante ya debe tener presencia en la red. Esto podría ser una amenaza interna o un host ya comprometido.

Hay mitigaciones para esto en los equipos de red modernos (e inteligentes). De tal manera que uno puede controlar qué MAC pueden comunicarse y en qué puertos físicos. Por lo tanto, si uno intenta falsificar un MAC, el tráfico no pasará del conmutador.

@Stephane tiene un gran punto con respecto a la defensa en profundidad. Si bien el cifrado del tráfico mitigará varias amenazas, también lo hace "ciego" en la red, ya que el tráfico pasará silenciosamente por los sistemas de detección de intrusos. No inspeccionado La implementación de un control como el cifrado de red realmente depende de su circunstancia única.

Bueno, realmente depende de a qué te refieres con tráfico local de AD. Si quiere decir que está solo en la máquina de su servidor, está prácticamente terminado si está comprometido de todos modos, por lo que cifrar los datos de nombre de usuario / contraseña almacenados solo sería marginalmente útil, si tuviera nombres de usuario y contraseñas cifradas por separado. podría hacer que sea muy difícil ponerlos en práctica, suponiendo que descubra rápidamente que su servidor ha sido comprometido. Si te refieres a local como solo dentro de tu red, las opciones más probables para un atacante son MITM, y luego un ataque de diccionario o un hash. Debido a que un contestador anterior en realidad quedó marcado para decir esto, voy a entrar en detalles sobre lo que son.

MITM : esto es básicamente cuando un atacante le dice a su enrutador que él es usted y usted es su enrutador. Entonces él termina enviándote su información (en este caso, nombre de usuario y contraseña) y la copia y la pasa al enrutador. APR significa enrutamiento avanzado de envenenamiento, y es básicamente una versión elegante de MITM

Pasar el hash : un ataque en el que puedes oler una contraseña (hash) o capturarla por algún otro medio. Lo que muchos servidores hacen es "decirle" a su máquina que haga hash de la contraseña localmente. Al "decirle" a su computadora que envíe el hash sin hash nuevamente, puede hacer que parezca que usted ingresó un nombre de usuario / contraseña válidos y que fue procesado y enviado en su camino.

Ataque de diccionario : su computadora recorre una lista de palabras, elabora con hash cada una hasta que encuentra una que la hace para que sea idéntica a un hash capturado previamente (en realidad, es la única forma viable de convertir una hash decente de nuevo en texto sin formato)